httponly 플래그의 의도 된 행동을 이해합니다

Question

나는 쿠키의 httponly 속성에 관한 약간의 혼란을 가지고 있습니다.나는 그것의 주요 용도가 XSS 공격에 대한 보호를위한 것이라는 것을 알고 있습니다.쿠키에 대해 HttpOnly 사용을 설정 한 웹 응용 프로그램이 있음을 가정하겠습니다.나는 이것을 위해 Fiddler와 같은 차단 프록시를 사용했습니다.그러나 모든 후속 트랜잭션에서 쿠키는 httponly 플래그와 동반되지 않습니다.이 기능은 한 번 설정하고 전체 세션은 httponly 플래그 아래에서 다루어 지거나 구현 결함입니다.그러나 다시 쿠키 관리자 애드온을 통해 모니터링 할 때 속성은 httponly가 활성화 된 것으로 표시됩니다.내 질문은 쿠키 매니저가 활성화되었지만 인터셉트 프록시가 아니라 정상적인 예상 동작 또는 잘못된 구현 인 이유는 이유를 활성화 한 경우입니다.내가 이해하도록 도와주세요.

Answer 1

HttpOnly는 Set 쿠키 헤더의 서버가 쿠키를 JavaScript에서 사용할 수있게하지 않도록 브라우저에 지시하지 않습니다.브라우저는 여전히 HTTP 연결을 통해 전송합니다.Set-Cookie 헤더에는 만료 될 때와 같이 쿠키에 대한 모든 종류의 지침, HTTPS (보안 플래그)와 HttpOnly를 통해서만 전송되어야하는지 여부에 관계없이 WHIC 경로를 포함합니다.이것들은 서버의 모든 지침이 있으므로 브라우저가 각 요청에 따라 서버로 다시 보내는 지점이 없습니다.